可燃气体和有毒气体监控报警系统(GDS系统)用以实现对现场设备等装置异常操作和设备状态的自动监测、自动停车和/或隔离装置以防止异常条件引起的其他严重后果、事故报警和记录,以达到对装置和人员的保护等功能。用以实现对装置安全联锁保护控制,以防止异常条件引起的其他严重后果,以达到对装置和人员的保护等功能。配合我公司生产的气体报警检测仪,反应快,效率高。
通常,系统控制单元(控制站)、工程师站、操作员站等均连接在系统的高速通讯网络上。控制系统可通过标准Modbus RTU 协议与第三方产品(如DCS、Enteck 等)进行通讯。并且通讯介质支持串行电缆,重要信号参数(如联锁信号、负荷信号)则通过硬接线连接。
上图说明了GDS 双重化容错操作的几个核心单元。系统操作包括如下几个基本步骤:
● 对现场信号,输入模块进行信号接收、信号缓存以及各种必需的转换。然后输入信号经双重化的内部总线传送到双重化处理器模块;
● 双重化处理器模块的微处理器从双重化的内部总线的每个通道接收输入的信号,并对数据进行表决;
● 在数据处理过程中,每个处理器都将自己的输入信号跟其它两个CPU 的输入信号进行比较;
● 双重化处理器同步地执行应用程序,产生的输出信号被送回双重化的内部总线;
● 输出模块接受处理器送来的信号,进行4 选2 自诊断表决,对表决后的信号进行必要的转换工作,送出系统,驱动现场执行单元。
GDS 连续地、高速地进行上述操作,实现快速的闭环数据处理。
如果GDS 系统中发生了一个内部故障,这个故障将通过表决器被限制。系统中广泛分布的表决芯片确保系统中的任何内部故障都不会传播到程序处理过程中去,并且能够准确地指示出系统内部故障的位置。
每个寄存器和程序控制器都以同样的方式进行表决。所有的内部通讯都有接收电路进行通讯校验。
主要特点
GDS系统采用容错技术,满足买方日益变化的现场需求。下面是GDS系统的几个重要特点:
● 的HIFT设计,保证系统的安全性、可靠性和运行速度。
● 无限制的在线修改:装置不停车的组态修改对于许多过程工业是危险但又必须的,GDS系统能够帮助你实现多变量无次数限制的在线修改。该系统的离线仿真也是全局有效,而不仅仅是针对局部。
● GDS系统和现场的电气隔离为2500伏。
● 每个输入点(DI和AI)可组态设置4个SOE,记录门限值或事件。
● 10ms以内的SOE分辨率和系统规模没有关系。
● 预诊断,对现场设备进行特征分析并进行趋势预测。GDS控制器能够对回路进行动态监测并与正常值比较。如果回路特征发生较大变化,系统将进行报警,并向操作员提供资料,以便进行分析处理。
● GDS 的操作系统通过了安全认证—SIL认证。
● TUV认证的防火墙设计确保不同安全等级的应用程序可以同时在系统中运行而互不影响。
● 支持全部5种IEC61131编程组态语言:梯形逻辑图、功能块、结构化文本、指令表和顺控图。
● 根据IEC 61508 的标准设计,通过了功能安全的TUV认证。
● 提供OPC连接。
● 时钟同步功能,控制网接入硬件GPS设备。
● 模块自身温度,湿度,电压,电流等6种实时状态参数检测。
● 超过99.99%的自诊断范围。
● 取样方式:同步。
● 容错方式:硬件容错HIFT。
系统原理
系统的软件和硬件设计核心在于确保系统中的单点故障不会造成系统误停车或者拒停车。
1、内存保护
内存管理单元(MMU)中的内存保护功能对于一个安全系统至关重要。内存管理单元保护应用程序的数据和代码不被破坏。MMU通过将应用程序产生的虚拟地址转换为内存总线上的物理地址,来完成这一功能。操作系统具有内置的MMU支持。应用程序或程序块的数据被分组存储在专用的数据区中。对MMU可以组态,以便只让某个特定的应用程序才能对数据区中的数据进行读写。当其它应用程序企图改写该数据区数据时,MMU将做出保护,禁止其操作。
不同应用程序之间可以建立通讯。如果两个不同的应用程序具有不同的专用数据区,但处于MMU的同一个管理段中,则在发送的应用程序的数据发生变化的情况下,接收的应用程序可以自由地访问在发送的应用程序的专用数据区。如果这两个专用数据区处于MMU中的不同管理段中,则发送区的数据仅仅简单地被复制到接收区,原始数据不会变化。接收程序可以对已接收的数据可以读写。
通过将过程分成不同的块,操作系统可以将一个应用程序从逻辑上分开。应用程序的每个功能块是独立的、分离的。
上述特性可以应用在关键的安全控制场合。这时应用程序分为两个截然不同的部分。一个部分执行应用程序,而另外一个监督和检查其运行。执行监督的应用程序的数据必须不受任何影响。这正是内存保护的重要的应用实例。
在设计上,操作系统能够尽可能减少程序错误,并能对非法访问数据的现象向程序员报警。当给一个应用程序分配了某个数据区,或者该应用程序接收到来自其它应用程序的数据,那么它就获得了对该数据区的所有权。它就可以读写该数据。当应用程序的数据区被收回并被重新分配,或把数据发送给了其它应用程序,它就失去了对该数据区的所有权。当一个应用程序试图调用一个数据区的地址,但它并不拥有其所有权时,操作系统将产生一个错误信息。另外,如果一个系统调用的地址没有指向一个有效的数据区,即使地址在该应用程序拥有的区域内,系统也会产生一个错误信息。
2、IEC61508 — 安全系统标准
IEC61508 是一个有关工业安全系统的国际标准。它涉及电子、电路以及可编程电子系统,涵盖硬件和软件两个方面。
为了划分危险区域的等级,IEC 提出了整体安全水平(SIL)的概念。IEC 61508根据安全系统满足安全要求的程度,将安全系统分为4个等级(SIL1-4)。整体安全水平和工业安全系统的技术性能密切相关。在IEC61508中,对整体安全水平是这样表述的:
整体安全水平分为4级,它表明了安全系统中安全功能满足综合安全要求的能力。。
IEC61508对安全系统从设计到使用的整个过程的管理文件的内容和结构也给予指导。以下是GDS系统在设计上满足的两个整体安全水平等级的简介。
SIL—1 安全操作
系统提供安全和保密操作。系统的硬件故障诊断措施都是基本的。这种结构主要用在一些基本的控制和监视上。
SIL—3 容错
高度的可用性和失效-安全操作是系统的主要要求。当系统中出现一个或者多个故障时,系统能正常运行,同时故障模块能够在线更换。如果故障超出了系统的容错能力,则系统将按照预先的设定,转为失效-安全模式,确保买方生产装置和设备的安全。这种设计适用于高可靠性、高可用度以及对系统在线时间要求很高的应用场合,如石油化工行业等。
3、I/O 保护的等级
系统提供高灵活度的I/O模块。这些模块可以灵活地配置及组态,实现不同安全等级综合应用的功能。模块内部还有全面的自诊断功能,诊断范围到通道级,诊断率接近99%。
系统硬件
系统硬件由工程师站和安全控制站构成,控制站由控制器模块、安全输入模块及其端子板、安全输出模块及其端子板、网络通信模块组成。系统的控制器模块、网络通信模块和I/O模块都安装在机架中,系统的机架分为主机架和扩展/远程机架,主机架与扩展机架通过扩展通信模块和光纤电缆实现连接。现场I/O信号接入与I/O模块配套的I/O端子板,再通过电缆接入到I/O模块的三组通道中。
1、控制器模块
控制模块式GDS系统的处理器单元,执行以下关键/安全控制任务:
A:执行内核程序;
B:I/O模块的接口,读取输入数据,写输出数据;
C:与其他控制器通讯(本站或通过网络连接的其他控制站);
D:执行周期性的系统诊断;
E:第三方通讯(HMI、PCS等);
F:其他节点的通讯信息封装及检查;
模块的数据处理单元和供电单元在电路上是隔离的,以防止外部的故障导致模块停止工作,同时模块为底板双路供电,在内部电路上有过电压保护,供电的正常与否通过诊断可以知晓。
模块有两个功能独立的10/100Mbps自适应以太网接口,支持Modbus RTU及GDS专有协议,同时数据对其他控制器均有效;此外有两个串口供Modbus RTU 485协议通讯,两个串口数据和供电电路隔离,通讯波特率可以从1200-115200宽范围设置。
模块内部有周期检查的诊断电路,配合看门狗电路来监视模块的执行情况,一个控制站可以是一块、两块甚至三块控制模块,当有两块及三块控制模块时,该控制单元提供了容错结构(Faulttolerant),模块支持在线更换,重新更换的卡件对配置及组态会自学习,不会影响在线的模块。
2、数字量输入模块
数字量输入模块均为点点隔离,对现场的信号允许0V-32V dc输入。每一个通道提供输入状态及输入电压给处理单元,具备线路监测及故障诊断功能。
模块每一个通道状态、模块自身状况均有LED指示,同时LED的状态均有变量可以通过Workbench(组态软件)读取。这些综合诊断帮助损坏模块的更换和维修。
这些模块通过输入端子板采集现场信号,对于单模块配置,为非安全应用同时没有容错功能,对于双重化或三重化配置,具备容错功能,这样使得系统具备在线更换的能力,而不影响工艺的生产。
该模块具备线路监测功能,可以通过workbench软件设置,每一个输入有5个可调整的电压范围(可以调整8个阀值,是具备区域滞后功能),安全手册指出,具备回路监测的功能增加了回路的安全完整性等级。
3、数字量输出模块
数字量输出模块是8点数字量输出模块,每个通道容量为1A(32V时),模块支持通道级的电压电流监测功能,以及反向电流保护和负载短路开路监测。模块设计上为失效安全型(故障失电),模块本身具备单一故障不停车功能,对于现场端供电,提供冗余供电而不需要外部额外的反向二极管。
模块在输出回路和数据处理回路上隔离,防止因为现场端的故障导致模块故障。对于通道上的过负载(超电流/短路),模块对每个通道均有反向逆流保护。模块在面板上提供了模块状况、通道状态的指示。
当配置双重化模块时,两个模块的输出为并联模式,使得系统具备容错功能。
4、模拟量输入模块
模拟量输入模块均为点点隔离,对现场的信号允许0mA-24mA输入。每一个通道提供输入状态及输入电流给处理单元,具备线路监测及故障诊断功能。
模块提供卡件状态及I/O通道指示灯,这些指示灯可以很快速的帮助模块的更换和维护。模块配合T9831/2/3端子板使用,当配置双重化和三重化端子板时系统是具备容错功能的,实现模块的在线更换。
指示灯的阀值可以通过workbench设置,每一个输入有5个电压区间(8个阀值带滞后送往)可以配置,,其默认的配置为:Fault:0-3.8mA;Normal:3.8-22.0mA;Fault:大于22.0mA;
系统功能
1、控制功能
GDS 系统过程与输入和输出信号相连接,通过内部的用户程序来实现各装置的安全联锁逻辑控制,系统具有数据采集、连续控制、顺序控制、复杂的批量控制等功能,用户能够方便地定义控制器的多种处理速度,以不同的速度运行连续控制和批量控制,冗余控制器实现无扰动切换,具有在线编程和修改的能力,程序下装、增加和删除I/O 点不影响其它程序执行。
1.1、在线修改功能
在线修改控制方案并下载,在线修改过程画面并下载,下载过程中不引响其它程序执行。
支持在线修改(包括添加、删除)、增量下装和整体下装功能。
2、画面功能
系统设置了一台工程师站,用于GDS系统的应用软件编程、组态、调试、在线监测、诊断和操作,同时可作为SOE站用于顺序事件收集,判断停车事故原因,同时设置一台操作员站。工程师站、操作员站系统软件环境为中文Win 7平台,可通过用户名和口令保护设置多个访问级别(如分三级设置:操作员环境、仪表维护人员环境、工程师环境等),每次访问的操作时间,动作等记录存档。操作密码和操作权限由系统管理员设定和修改。。
2.1、总貌画面
显示系统各设备、装置、区域的运行状态以及全部过程参数变量的状态、测量值、设定值、控制方式(手动/自动状态)、高低报警等信息。从各显示模块可以调出其他画面。
2.2、分组画面
以模拟仪表的表盘形式按事先设定的分组,同时显示几个回路的信息:如过程参数变量的测量值、调节器的设定值、输出值、控制方式等。变量值每秒更新一次,分组可任意进行,操作员可从分组画面调出任一变量(模拟量或离散量)的详细信息。
对模拟回路可以手动改变设定值、输出值、控制方式等;对离散量可以手动操作设备的开启和停止,画面显示出指令状态和实际状态。
2.3、单点画面(调整画面)
显示一个参数、控制点的全部信息以及实时趋势和历史趋势。从调整画面也可以直接对模拟回路进行设定、调整操作。
2.4、趋势画面
系统具有显示监控数据表上任何数据点趋势的能力,并在同一座标轴上显示至少四个变量的趋势记录曲线,有可供用户自由选择的参数变量、不同颜色和不同的时间间隔,也可以对数据轴进行任意放大显示。
2.5、报警画面
显示当前所有正在进行的过程参数报警和系统硬件故障报警,并按报警的时间顺序从*近发生的报警开始排起,报警优先级别和状态用不同的颜色来区别,未经确认的报警处于闪烁状态。
报警内容包括:
● 报警时间
● 过程变量名
● 过程变量说明
● 过程变量的当前值
● 报警设定值
● 过程变量的工程单位
● 报警优先级别
2.6、图形画面
生产装置的图片、工艺流程图、设备简图、单线图等都可以在CRT上显示出来,每个画面都包括字母数字字符和图形符号,通常采用可变化的颜色、图形、闪烁表示过程变量的不同状态,所有过程变量的数值和状态每秒动态刷新。操作员在此画面对有关过程变量实施操作和调整。
2.7、棒图
棒图可以表示过程变量的变化,如棒图表示塔的液位,棒图能以水平或垂直方式显示。
2.8、报表功能
系统数据库的所有记录都可生成报表打印。用报表生成软件应可以建立和修改报表,并可以对报表的各个字段进行组态。报表功能可由程序控制、报警控制和操作员控制启动。报表可任一台打印机完成打印。系统应能生成以下报表:
● 即时报表:由数字信号触发或操作员启动,打印数据库所有变量的当前值。
● 定期报表:每小时、每班、每天、每月结束时打印出某些选定点(包括计算变量)的数值。
● 报警汇总报表:可印出近五百个系统报警和过程报警。
● 操作记录报表:可打印出近72 个小时的操作记录,包括操作站编号、操作员名称、操作开始和结束的日期时间,以及操作内容(事件记录)。
● 系统维护报表:可列出全部系统报警的诊断结果,并标有故障日期及时间和返回正常的日期及时间。
3、数据采集和存储功能
为了有利于事故分析,在工程师站上安装SOE 查询软件,用来检索和查询顺序事件记录并确定报警事件。系统SOE 分辨率可达到1ms,可以方便地记录故障报警,捕捉报警信息,为事故分析提供手详实的信息;SOE 的记录和检索功能可在工程师站站上完成。采集的SOE 数据可实时存贮在系统内存和电脑硬盘中,并可通过打印机打印出来。配置的工程师站硬盘500G,足够记录3 年以上SOE 数据。当发生数据丢失及硬盘容量少于10%时将会报警。
4、自诊断功能
系统具有完备的自诊断功能,并在连续工作的基础上运行;控制器、及I/O模块的都具有自诊断功能,其中I/O模块自诊断范围到通道级别。在处理器或其它系统发生故障的情况下,能给出相应的报警指示,报警条件至少包括以下几种:
● 处理器故障;
● 通讯故障;
● 电源故障;
● CPU时钟故障;
● 处理器存储器故障;
● I/O卡件故障。
5、时钟同步功能
GPS 时间同步系统,授时精度高、覆盖范围广,可为控制系统内的计算机和设备提供全自动、高精度的时间同步基准,较好地解决了落后的人工校时和网络授时精度问题。时钟同步系统采用单点接入、多系统设备共用一个基准时钟源,为GDS系统、操作员站、工程师站提供统一的时间基准,统一网络上所有计算机时钟,保证时钟一致。
GDS系统时钟同步模式采用控制网接入硬件GPS设备,支持NTP,SNTP制式时钟信号。
操作层配置
1、工程师站/兼操作员站
工程师站设置1 台,操作台1 个,用于安全仪表控制系统组态、编程、故障诊断、状态监测、在线方案调整程序开发、系统诊断、控制系统组态、数据库和画面的组态、编辑及修改。同时可以离线和在线组态、修改、设置参数及系统维护,工程师站还具有离线仿真调试功能。
2、网络设备配置
根据要求配置冗余通讯网络,交换机采用SUP-5117M 型号,本项目配置2 台交换机。
3、与其他系统通讯
GDS 系统可以通过RS-232/ 485 接口与其他厂商的系统进行的串行通讯,执行MODBUS 的通讯协议。网络结构为双重化冗余结构,在其中任一条通讯线发生故障的情况下,通讯网络仍保持正常的数据传输。
4、机柜
本项目的机柜采用CN 系列标准机柜,前后单开门,左轴方式,尺寸统一为2100mm(高)X800mm(宽)X800mm(深)(包括底座)。机柜门内带A3 横向聚苯乙烯电路图盒(带自粘固定带)。机柜能前后开门,装有风扇及空气过滤器,电缆从机柜的底部进入,处理器及插槽朝机柜的前面,门内带正反面标签,门内、外均带机柜编号。机柜配置电源,风扇工作状态在GDS 实现监控。系统机柜中预留20%空间用于系统扩容。本项目共配置1 个机柜。
A 机械制造:所有安装于室内的控制系统盘柜用冷扎钢和经退火处理的低碳钢制作。机柜成品的表面光滑、平整。
B 机柜颜色:碳钢材料的盘内外均喷漆,盘内外表面处理将依据项目标准完成,如RAL 7032。随设备一起提供适当的每种使用颜色的补色品。
C 吊装点:所有控制盘柜配有可拆卸的吊环螺栓以便于吊装,吊环螺栓固定在控制系统盘柜的顶部。
D 盘柜门:盘柜门有足够的高度,以免机柜扭曲、变形,并防止灰尘、潮气进入柜内。单门盘柜在左面安装铰链。所有柜门带锁,并为可拆卸型。所有柜门的锁相同。所有柜门能180º 开启,并装配定位的机械挡板。每个门内均安装放置A4 文档,至少深度为40mm 的文件袋。